Die Schweizer Smartphone-App Threema, die es für iPhones und Android-Handys gibt und die über den Browser auf dem PC genutzt werden kann, ist von unabhängigen IT-Experten einer professionellen Sicherheitsüberprüfung unterzogen worden. Über den sogenannten «Sicherheitsaudit» informiert die Threema GmbH im Firmenblog (siehe Quellen).
watson hat den 19-seitigen Bericht gelesen und fasst die wichtigsten Erkenntnisse zusammen. Die Entwickler versprechen zudem, «volle Transparenz» zu schaffen. Darum soll der Quellcode der Threema-Apps «in Kürze» offengelegt werden. (Eine entsprechende Ankündigung war bereits erfolgt.)
Nein. Die Überprüfung durch die Fachleute der deutschen IT-Sicherheitsfirma Cure53 ergab keine gravierenden Schwachstellen oder potenziell verheerende Sicherheitslücken. Bei dem sogenannten Penetration-Test wurde versucht, die iPhone- und die Android-Version der Threema-App zu hacken und User-Daten abzufangen. Ohne Erfolg.
Im Bericht heisst es, Cure53 sei bei der im Oktober 2020 durchgeführten Prüfung zu einem positiven Urteil gekommen. Dies werde unterstrichen «durch die niedrige Gesamtpunktzahl der Probleme und die begrenzten Schweregrade, die den entdeckten Fehlern zugeschrieben werden».
Die Prüfer sind voll des Lobes in ihrem Bericht, der von Threema in Auftrag gegeben worden war und auf der Threema-Website als PDF-Dokument verfügbar ist. Sie beschreiben ihren Gesamteindruck bezüglich der Codequalität von Threema und der allgemeinen Struktur des Softwareprojekts als «aussergewöhnlich solide». Aufbau und Umsetzung seien zweifellos von einem «seltenen Team erfahrener und sicherheitsaffiner Entwickler» durchgeführt worden.
Von den wenigen «unkritischen Verbesserungsvorschlägen», die die Tester vorbrachten, seien einige bereits in den aktuellen App-Versionen berücksichtigt worden, und die anderen würden mit kommenden Updates umgesetzt.
Weiter empfiehlt der Prüfbericht den Threema-Entwicklern, parallel zur Veröffentlichung des Quellcodes ein vernünftiges Bug-Bounty-Programm zu installieren. Dies soll in Zukunft unabhängige IT-Experten motivieren, «kontinuierlich nach Schwachstellen in der bereits vorhandenen Codebasis und allen zukünftigen Änderungen derselben zu suchen».
Dazu schreibt Roman Flepp von Threema:
Zuletzt hatte das Labor für IT-Sicherheit der FH Münster im Jahr 2019 einen Audit zu Threema durchgeführt. Auch damals zeigten sich keine gravierenden Schwachstellen.
Threema kostet für den Privatgebrauch eine einmalige kleine Gebühr (3 Fr.) und ist werbefrei. Wie andere «abhörsichere» Smartphone-Messenger hat Threema eine Ende-zu-Ende-Verschlüsselung implementiert, so dass die übers Internet gesendeten Daten nicht eingesehen werden können.
Die Entwicklerfirma betont, dass keine Userdaten (Metadaten) gesammelt würden. Für Firmen und Schulen gibt es Threema als kostenpflichtige sichere Kommunikationsplattform.
Die App kann im Gegensatz zu Facebooks WhatsApp auch ohne (eigene) Mobilfunknummer genutzt werden. Man braucht nur eine Threema-ID, die man auch ohne Verbindung zu einer E-Mail-Adresse anlegen kann.
Damit die eigene Threema-ID, die Kontakte und Gruppen (sowie weitere Daten und Einstellungen) nicht verloren gehen, lässt sich freiwillig ein verschlüsseltes Cloud-Backup erstellen. Diese Funktion wird Threema Safe genannt, wobei der Speicherort für das Backup selber festgelegt werden kann.
Der Funktionsumfang der App ist kleiner und User-Daten landen auf Servern, die im direkten Zugriffsbereich der amerikanischen Geheimdienste liegen. Zudem setzt Threema das Sicherheitskonzept Privacy by Design (Datensparsamkeit) vorbildlich um. Dass bei Signal zur Registrierung eine Mobilfunknummer verlangt wird, gilt als ein grosser Nachteil.
Im Mai dieses Jahres hat Signal eine PIN-Funktion eingeführt, die es ermöglicht, von wichtigen persönlichen Daten ein verschlüsseltes Cloud-Backup zu erstellen. «Secure Value Recovery» soll die Wiederherstellung der Daten im Falle eines Geräteverlusts oder Gerätewechsels ermöglichen. Mittelfristig soll auch erreicht werden, dass sich User nicht mehr zwingend mit ihrer Mobilfunknummer registrieren müssen.
Die neue PIN-Funktion, mit der sich Kontakte, Profil-Informationen, Einstellungen und weitere Daten auf einem Signal-Server speichern lassen, hat Sicherheitsexperten alarmiert. Sie kritisierten die Entwickler und drohten damit, die App nicht mehr zu verwenden, wie «Vice» im Juli berichtete.